Gesundheitsapps – Anforderungen an Datenschutz und Datensicherheit

Viele Menschen nutzen Apps zur Gesundheitsvorsorge: die Möglichkeiten sind weitreichend und versprechen Hilfe bei zahlreichen Erkrankungen von Migräne, Depressionen, Arthrose bis hin zu Bluthochdruck. Die Corona-Pandemie und das Digitale-Versorgungs-Gesetz (DVG) haben dieser Entwicklung Auftrieb verliehen. Gerade das vom Bundestag im Jahr 2019 verabschiedete DVG verfolgt das Ziel, die Digitalisierung der deutschen Krankenversorgung voranzubringen. So können Ärzt:innen ihren Patienten nun unter anderem digitale Gesundheitsanwendungen (DiGA) auf Kosten der Krankenkasse verschreiben; auf die Versorgung mit DiGA haben Versicherte gemäß dem neuen § 33 a SGB V sogar einen Anspruch. Unter DiGA fallen nach der in § 33 a Abs. 1 S. 1 SGB V verankerten Legaldefinition auch – medizinisch nützliche – Apps. Solche werden, anders als sogenannte Lifestyleapps (z.B. Fitnesstracker), insbesondere zur Diagnose und Therapie von Krankheiten eingesetzt. Um für Patienten erstattungsfähig zu sein, müssen sich Gesundheitsapps einer Überprüfung durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) unterziehen. Hierbei werden dann auch die Datensicherheit und Datenschutzbestimmungen der Apps überprüft. Denn bei der Umsetzung der Anforderungen an den Datenschutz und die Datensicherheit ist Vorsicht geboten: das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bei einer Untersuchung von Gesundheitsapps zahlreiche Sicherheitslücken festgestellt. Keine der untersuchten Apps hat dabei die Sicherheitsanforderungen der BSI-Richtlinie für Gesundheitsapps vollständig erfüllt. Da diese Anwendungen naturgemäß sensible und besonders schützenswerte Daten verarbeiten, ist dies datenschutzrechtlich sehr bedenklich. Dieser Beitrag beleuchtet deshalb die Anforderungen von Gesundheitsapps an Datenschutz und Datensicherheit.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Hintergrund

Daten, die die Gesundheit einer Person betreffen sind besonders sensibel und damit auch besonders schutzbedürftig. Die Datenschutzgrundverordnung (DSGVO) definiert Gesundheitsdaten in Artikel 4 Nr. 15 DSGVO: „Gesundheitsdaten“ [sind] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“ und stellt diese in Artikel 9 unter einen besonderen Schutz. Das ist nicht verwunderlich, denn solche Daten betreffen unsere intimste Sphäre – wer welche Beschwerden oder Krankheiten hat gehen außer den Betroffenen niemanden etwas an. Gleichzeitig sind Gesundheitsdaten sehr wertvoll: Ärzt:innen können gezielter handeln und Fehlerbehandlungen vermeiden, Forschende können nach Krankheitszusammenhängen und besseren Behandlungsmöglichkeiten suchen. Doch auch die Werbebranche kann viel Geld durch Gesundheitsdaten verdienen, indem sie möglichst genaue Produkte vorschlagen kann. Auch, dass Kriminelle Daten illegal verkaufen („Datenklau“) ist leider keine Seltenheit mehr.

Entsprechend der Sensibilität der Daten werden an DiGA hohe Anforderungen an den Datenschutz und die Datensicherheit gesetzt. Es ist aber zu beachten, dass nicht alle Daten, die im Kontext von Gesundheitsapps verarbeitet werden, Gesundheitsdaten sind. Die Unterscheidung zwischen Gesundheitsdaten nach Art. 9 DSGVO und „normalen“ personenbezogenen Daten hat vor allem Auswirkungen auf die mögliche Rechtsgrundlage bei deren Verarbeitung. Details dazu haben wir bereits hier für Sie zusammengetragen.


Mehr zum Thema

Health-Apps und Datenschutz – Eine Win-win-Konstellation?
Einwilligungen in die Verarbeitung von Gesundheitsdaten: rechtssicher und verständlich gestalten
Datenschutz­konformes Outsourcing im Gesundheitswesen
Anonymisierung und Pseudonymisierung in der Praxis


Datenschutzrechtliche Anforderungen

Bei der Verarbeitung personenbezogener Daten sind die DSGVO, das Bundesdatenschutzgesetz (BDSG) sowie zahlreiche bereichspezifische Regelungen zur Zulässigkeit und Verarbeitung von Gesundheitsdaten zu beachten. Solche speziellen Regelungen finden sich unter anderem in den Sozialgesetzbüchern, im Infektionsschutzgesetz, im Medizinproduktgesetz und auf Landesebene im Landesgesundheitsgesetz. Zusätzlich konkretisiert und ergänzt die Gesundheitsanwendungen-Verordnung (DiGAV) die Anforderungen der DSGVO.

Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, sofern eine Rechtgrundlage nach der DSGVO vorliegt. Zusätzlich stellt Art. 9 Abs. 1 DSGVO ein grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten auf, sodass solche nur aufgrund spezieller Rechtsgrundlagen verarbeitet werden dürfen. Zentrale Vorschriften sind Art. 9 Abs. 2 DSGVO bzw. § 22 BDSG. In der Praxis ist somit meist die Einwilligung des Nutzers der Gesundheitsapp einzuholen, Art. 9 Abs. 2 lit. a DSGVO. Diese muss sich ausdrücklich auf die Verarbeitung von Gesundheitsdaten für einen festgelegten Zweck beziehen. Details zu der Einwilligung in die Verarbeitung von Gesundheitsdaten finden Sie hier.

Daneben ist unter anderem zu beachten, dass die Betreiber von Gesundheitsapps insbesondere in ihrer Datenschutzerklärung, aber auch darüber hinaus immer den Transparenzgrundsatz der DSGVO beachten müssen. Dem Nutzer muss zu jeder Zeit in einer einfachen und verständlichen Sprache erklärt werden, welche Daten verarbeitet werden und was mit seinen Daten geschieht. Nach dem gängigen Modell der meisten Anbieter verbleiben die Nutzerdaten nämlich gerade nicht im Endgerät des Nutzers, sondern werden auf zentralen Servern gespeichert und ausgewertet. Berücksichtigt werden müssen auch immer die allgemeinen Datenschutzprinzipien wie die Datenminimierung, Zweckbindung oder Speicherbegrenzung (Art. 5 Abs. 1 DSGVO), Betroffenenrechte und Informationspflichten (Art. 13 ff. DSGVO).

Da die Verarbeitung von Gesundheitsdaten regelmäßig umfangreich seien wird, muss der Verantwortliche zudem eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 3 lit. b DSGVO durchführen.

Darüber hinaus definiert die DiGAV weitere besondere Voraussetzungen. Diese Anforderungen stellen einen wesentlichen Prüfungspunkt bei eingangs erwähnter Prüfung der BfArM dar. In § 4 DiGAV werden Anforderungen an Datenschutz und Datensicherheit formuliert, welche insbesondere die Vorgaben aus der DSGVO ergänzen und konkretisieren. Diese Anforderungen werden gemäß § 4 Abs. 6 DiGAV in Anlage 1 der DiGAV näher bestimmt. Zu beachten ist, dass die Verarbeitung personenbezogener Daten aufgrund einer Einwilligung i. S.v. Art. 9 Abs. 2 lit. a) DSGVO nach § 4 Abs. 2 DiGAV auf bestimmte Zwecke beschränkt ist. § 4 Abs. 3 DiGAV regelt zudem die Datenverarbeitung außerhalb Deutschlands.

Anforderungen an die Datensicherheit

DiGA – und damit Gesundheitsapps – müssen auch die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten. Sämtliche über eine DiGA verarbeiteten Daten müssen geschützt werden in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die wesentlichen Anforderungen werden derzeit in der Anlage 1 zur DiGVA geregelt. Diese werden dort in einer Checkliste „Datensicherheit“ in zwei Rubriken unterteilt: Basisanforderungen und Zusatzanforderungen für DiGA mit sehr hohem Schutzbedarf. Diese Checkliste umfasst unter anderem Punkte wie Stand der Technik, Informationsmanagementsystem gemäß ISO 27000-Reihe oder BSI-Standard 200-2, Schutzbedarfsanalyse, „Data Leakage Prevention“, u.a. Verschlüsselung und Anforderungen an das Produkt, wie zum Beispiel Authentisierung und Autorisierung, Protokollierung, Härtung. Die Zusatzanforderungen formulieren sieben zusätzliche Anforderungen im Bereich Verschlüsselung gespeicherter Daten, Authentisierung, Ergreifen der Maßnahmen gegen DoS und DDoS sowie Vorkehrungen im Zusammenhang mit eingebetteten Webservern.

Technische Richtlinie BSI TR-03161

Zusätzlich müssen noch die Sicherheitsanforderungen der vom BSI veröffentlichten Technischen Richtlinie BSI TR-03161 beachtet werden – diese TR wird in einem „trial use“-Status veröffentlicht. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Dabei ist sie als Mindestanforderung für den sicheren Betrieb einer Anwendung zu betrachten. Grundsätzlich fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken. Die TR verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Nach Angaben des BSI werden in zukünftigen Versionen auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen. Bereits jetzt kann die TR genutzt werden, um als Entwickler erklären zu können, dass die Anforderungen des Zulassungsverfahren des BfArM eingehalten wurden.

Fazit

Hersteller von Gesundheitsapps haben viele Anforderungen zu erfüllen; diese ergeben sich nicht nur aus der DSGVO, sondern auch aus einschlägigen bereichsspezifischen datenschutzrechtlichen Vorschriften im Gesundheitswesen – insbesondere auch aus Vorgaben der DiGAV in Bezug auf Datenschutz und Datensicherheit. Auch wenn dies zuweilen etwas unübersichtlich und mühsam sein kann, lohnt sich der Aufwand, um ein sicheres Produkt für Anwender:innen zu gewährleisten.

Wegen der komplexen Situation und der einzelfallabhängigen Fragen ist eine individuelle Beratung dringend empfohlen. Dabei unterstützen wir Sie gerne mit unserer Expertise – sprechen Sie uns an, und wir erarbeiten gemeinsam mit Ihnen eine für Sie passende Lösung!

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.